如何要求用户只能用AD域用户身份登录，而IT管理员可以用local administrators身份登录呢？

我们可以通过设置AD组策略来禁止本机用户登录。

在Domain Controller的GPO中，

选择

Policy\Computer Configuration\Windows Setting\Security Settings\Local Policies\User Rights Assignment\ Log On Locally
 

添加两个组，Administrator和Domain Users，运行gpupdat，那下次用户就只能以域用户身份登录了。

假如Domain Controller 是 Windows Server 2003，组策略位置有点不同，位置为

Computer Configuration\Windows Setting\Security Settings\Local Policies\User Rights Assignment\Log On Locally.

本文转自 VirtualTom 51CTO博客，原文链接：http://blog.51cto.com/virtualtom/1129366，如需转载请自行联系原作者